راهنمای MEV: مسائل مهم و بهترین شیوه های امنیتی

وقت خواندن: 6 دقیقه

سودآوری هدف نهایی پشت هر کاری است که یک فرد انجام می دهد. در رابطه با آن، MEV که مخفف Maximal Extractable Value است، نشان‌دهنده سودی است که یک اعتبارسنجی از یک بلاک چین با قرارداد هوشمند برای گنجاندن، حذف یا سفارش مجدد تراکنش‌ها در بلاک‌ها کسب می‌کند. 

به طور خلاصه، MEV معیار سودی است که یک ماینر/ اعتبارسنجی می تواند برای بررسی تراکنش ها در شبکه بلاک چین استخراج کند. جزئیات بیشتر در مورد MEV - خوب و بد، بینش در مورد محافظت از بودجه در برابر ترفندهای MEV از نکات برجسته این وبلاگ خواهد بود. 

MEV چیست؟ چگونه کار می کند؟

در اجماع اثبات کار، ماینرها مسئول افزودن تراکنش‌هایی بودند که قبلاً ارزش استخراج‌پذیر ماینر نامیده می‌شد. اما با تغییر اتریوم برای اثبات سهام، اعتبار سنجی ها کسانی هستند که تراکنش هایی را که به حداکثر ارزش قابل استخراج (MEV) تغییر داده ارزیابی می کنند. 

به طور کلی، کاربر برای جابجایی تراکنش ها در یک بلوک، هزینه ای را در بلاک چین می پردازد. این مبلغ کارمزد یک هزینه اضافی است که کاربر ترجیح می دهد برای ماینرها بپردازد تا تراکنش خود را در اولویت انتخاب کنند. 

این مبلغ MEV که چیزی نیست جز هزینه گاز پرداختی توسط کاربر، به ترتیب بالاترین مقدار توسط اعتبارسنجی فیلتر می شود تا برای آنها سود بیشتری داشته باشد. ربات‌ها برای خودکار کردن فرآیند ارسال تراکنش‌های سودآور با هزینه‌های گاز بالا استفاده می‌شوند که اعتبارسنجی‌ها را تشویق می‌کند. 

علیرغم این رویه اولویت بندی تراکنش ها بر اساس هزینه گاز پرداختی، MEV چندین اثر دیگر را نیز بر روی بلاک چین معرفی می کند. ما خواهیم دید که چگونه MEVها برای به دست آوردن منافع در متن پیش رو دستکاری می شوند.

MEV ها چگونه از نظر تاکتیکی استفاده می شوند؟

اعتبار سنجی ها و هکرهایی که تلاش می کنند با بهره برداری از MEV فرصت هایی را بیابند، کاربران را در مضیقه اقتصادی قرار می دهند. اما این راه ها چیست MEVs به نفع هکر استفاده می شود؟

حالا بیایید به جزئیات بپردازیم!

جلو ران: تمام تراکنش‌هایی که نیاز به اعتبارسنجی دارند در ممپول قرار می‌گیرند، جایی که اعتبار‌دهنده‌ها یا پیشتازان عمومی (ربات‌ها) از آن‌ها عبور می‌کنند و با معاملات سودآور پیش می‌روند. از آنجایی که کد روی بلاک چین باز است، ربات‌ها تراکنش کاربر را با هزینه‌های بالای گاز شناسایی می‌کنند، آن‌ها را تکرار می‌کنند و به اعتبارسنجی‌ها کمک می‌کنند تا موارد سودآور را پیدا کنند. 

به این ترتیب، دستورات تراکنش برای افزودن ترجیحی آنها به بلوک‌ها ابلاغ می‌شود. 

حمله ساندویچی: در اینجا شکل مخرب پیشروی ظاهر می شود که در آن تراکنش کاربر برای دستکاری قیمت ارزهای رمزنگاری شده و انجام معاملات به نفع هکرها در هزینه کاربران مورد مطالعه قرار می گیرد. 

برای ساده‌تر کردن آن، بیایید تفاوت قیمت یک سکه رمزنگاری خاص بین DEX، Uniswap و Sushiswap را فرض کنیم. کاربر این را می یابد و سعی می کند با خرید دارایی از Uniswap با قیمت کمتر و فروش آن در Sushiswap با قیمت بالاتر، سود کسب کند. 

به این ترتیب، نقدینگی ارزهای دیجیتال در صرافی‌های غیرمتمرکز مختلف حفظ می‌شود. اما مشکل اینجاست. هنگامی که کاربر تراکنش را برای سفارش های خرید و فروش آغاز می کند، برای تأیید اعتبار در انبار می ماند. 

در همین حال، ربات‌ها این فرصت بالقوه برای کسب سود را شناسایی کرده و همان معامله را با کارمزد گاز بالا تکرار می‌کنند. 

در نتیجه، سفارش خرید ربات قبل از کاربر اجرا می شود و قیمت توکن را پمپاژ می کند. 

سفارش خرید کاربر پس از پردازش انجام می شود و کاربر توکن را با قیمت بالایی خریداری می کند. 

سپس ربات سفارش فروش دارایی را با قیمت افزایش یافته آغاز می کند و سودهای مفیدی را در دانش کاربر به دست می آورد، که در نهایت از پولی که قصد داشته است محروم شود. 

قیمتی که قربانی MEV به دلیل دستکاری می پردازد، مقدار "لغزش" است که هنگام انجام معامله وارد کرده است. 

PS لغزش تفاوت قیمت بین زمان شروع و اجرا است. 

کاربر می‌تواند توکن‌ها را با قیمت پایین‌تری از یک DEX خریداری کند و با تعویض توکن‌ها، در یک تراکنش آن‌ها را در یک DEX با قیمت بالا بفروشد. 

آربیتراژ DEX: آربیتراژ DEX یکی از شناخته شده ترین فرصت های MEV است که به موجب آن کاربران می توانند از تفاوت قیمت بین دو DEX سود استخراج کنند. 

انحلال ها: انحلال پروتکل وام دهی فرصتی برای MEV برای کسب درآمد از هزینه انحلال است. پروتکل‌های وام‌دهی DeFi به کاربران این امکان را می‌دهند که برخی از رمزارزها را به عنوان وثیقه سپرده‌گذاری کنند و در مقابل، توکن‌های رمزنگاری مورد نیاز خود را قرض بگیرند.

اگر کاربر نتواند وجوه قرض‌گرفته شده را بازپرداخت کند، پروتکل به هر کسی اجازه می‌دهد وثیقه‌ای را که وام‌گیرنده قرار داده است را نقد کند، که برای آن کارمزد انحلال سنگینی دریافت می‌شود. این هزینه تصفیه به مدیر تصفیه می رسد. 

این توسط جستجوگران MEV استفاده می شود که وام گیرندگانی را که دارایی هایشان قابل انحلال است را شکار می کنند و از هزینه انحلال سود کسب می کنند. 

سمت روشن و تاریک MEV

جنبه روشن MEV نقش آن را در هموارسازی فرآیند انحلال در صرافی های غیرمتمرکز مختلف که ناکارآمدی های اقتصادی را رد می کند، استدلال می کند.

علاوه بر این، سازمان‌هایی مانند Flashbots محصولاتی را ارائه می‌کنند که به عنوان خدماتی برای القای یک اکوسیستم MEV بدون مجوز و شفاف ارائه می‌کنند. 

از جنبه منفی، حملات ساندویچی و پیشرو باعث از دست دادن درآمد گران‌تر و از دست دادن فرصت‌های آربیتراژ برای کاربران می‌شوند. ربات‌های MEV شرکت در پروتکل‌های DeFi را برای معامله‌گران تازه‌وارد سخت می‌کنند که به جنبه امنیتی آسیب وارد می‌کند. 

علاوه بر این، ربات‌های پیشتاز تعمیم‌یافته که تراکنش‌ها را با هزینه‌های گاز بالا تکرار می‌کنند، ازدحام شبکه را ایجاد می‌کنند و کارمزد تراکنش را افزایش می‌دهند و بر کاربر تأثیر می‌گذارند.  

ترسیم سناریوی اخیر هک ربات MEV 

طرح حمله: ربات MEV OxBAD از 150 دلار با انجام یک تراکنش 11 هزار دلار به دست آورد. بلافاصله پس از مبادله توکن برای کسب سود، کد بد ربات MEV در تراکنش زیر مورد سوء استفاده قرار گرفت. https://t.co/FxXSY8AyhX، تخلیه 1,101 ETH.

به ویژگی های هک …

ربات MEV تلاش موفقیت آمیزی را برای انجام مبادله 1.8 میلیون دلاری از cUSDC به برخی از استیبل کوین های دیگر انجام داد. این منجر به تنها 500 دلار دارایی کاربر در ازای آن شد.

با این حال، بلافاصله پس از آن، ربات MEV به نام Oxbad توسط یک استثمارگر فریب خورد تا سود به دست آمده را از دست بدهد. 

با مشاهده هک، بهره‌بردار از روال برگشت تماس ربات برای تأیید هزینه‌های خودسرانه که منجر به از دست دادن 1,101 ETH می‌شود، استفاده کرد. 

بالا در هک

سایر اکسپلویت های این ردیف در همان زمان در 22 سپتامبر بود 

• باگ شناسایی شده در ابزار Profanity، یک تولید کننده آدرس Vanity Ethereum، منجر به تخلیه 3.3 میلیون دلار پول از کیف پول های مختلف شد.
• یک هفته بعد، یک آدرس کیف پول توکار هک شد و ضرر آن حدود 1 میلیون دلار برآورد شد.

ورود به تمرین امنیتی

یخ ها را دنبال کنید

ممپول های خصوصی: به طور کلی، تراکنش‌ها در ممپول باقی می‌مانند که در آن به صورت عمومی پخش می‌شوند تا استخراج‌کنندگان/تأییدکننده‌ها آن‌ها را انتخاب کرده و به بلوک‌ها اضافه کنند. در ممپول های خصوصی، تراکنش ها فقط برای استخر قابل مشاهده هستند و برای گره های دیگر نمایش داده نمی شوند، که شانس هزینه MEV را کاهش می دهد.

مثال: شبکه Taichi، BloXroute.

ربات های فلش: Flashbots یک سازمان تحقیقاتی است که با دموکراسی کردن استخراج MEV از طریق MEV-Geth به مقابله با تضادهای MEV می پردازد. MEV-Geth یک مکانیسم حراج فضای بلوک خصوصی را فراهم می کند که در آن ربات ها و ماینرها می توانند در اولویت سفارش تراکنش با هم ارتباط برقرار کنند. 

این امر هزینه کلی گاز را برای کاربران کاهش می دهد و تراکنش های ناموفق زنجیره بلوک را متورم می کند. 

لغزش: کاربران می توانند در حین انجام تراکنش ها حداقل مقدار لغزش را وارد کنند. به طوری که اگر اختلاف قیمت بیش از حد باشد، معامله به طور خودکار لغو می شود. به این ترتیب کاربران می توانند از ضررهای بزرگ نجات پیدا کنند.

QuillAudits در امنیت Web3

تهدیدهای مستمری از سطح کد وجود دارد که امنیت Web3 را از بین می برد. QuillAudits تحقیقات گسترده‌ای در مورد بردارهای حمله در Web3 انجام می‌دهد و خطاها را رفع اشکال می‌کند که از پروژه‌ها و سرمایه‌های کاربران محافظت می‌کند. 

با خدمات امنیتی متنوع ارائه شده توسط آشنا شوید QuillAudits و خود را از دردسرهای Web3 محافظت کنید.

6 نمایش ها